Американские кибернетические власти, включая Национальный институт стандартов и технологии (NIST), проводят расследование возможной уязвимости в iOS-приложении «Binance Trust Wallet». Эта уязвимость может позволить злоумышленникам украсть средства, угадывая семяные фразы, известные как мнемоники.
Подробности уязвимости и последствия
Зарегистрированная 8 февраля в базе данных CVE, которая перечисляет серьезные проблемы, способные нанести материальный ущерб или убытки, эта уязвимость в настоящее время изучается NIST для оценки ее серьезности в реальном мире. Уязвимость уже была эксплуатирована, позволяя злоумышленникам систематически генерировать мнемоники для каждого таймштампа в применимый период и связывать их с конкретными адресами кошелька для кражи средств.
Приложение Binance Trust Wallet для iOS в коммите 3cd6e8f647fbba8b5d8844fcd144365a086b629f, git-теге 0.0.4 неправильно использует библиотеку trezor-crypto и генерирует слова мнемоники, для которых время устройства является единственным источником энтропии, что приводит к экономическим потерям, таким как эксплуатация в июле 2023 года. Злоумышленник может систематически генерировать мнемоники для каждого таймштампа в данном периоде и связывать их с конкретными адресами кошелька для кражи средств в этих кошельках.
Агентство NIST
Последствия для Trust Wallet
Trust Wallet Был жертвой нескольких киберинцидентов в 2023 году, что привело к убыткам более 4 миллионов долларов. Купленный Binance в 2018 году, Trust Wallet теперь является отдельной юридической сущностью, которая работает независимо от Binance.com, по словам представителя Binance. На сегодняшний день Trust Wallet не комментировал эту уязвимость через свой профиль X, а Binance с тех пор запустил свой собственный веб-кошелек Web3.
